Enthüllt: Meta und Yandex nutzten versteckte Localhost-Technik zum App-Tracking auf Android

Forscher entdecken neuartige Methode zur De-Anonymisierung von Android-Nutzern über lokale Netzwerkverbindungen – selbst im Inkognito-Modus

Sicherheitsforscher haben eine bislang unbekannte Tracking-Methode aufgedeckt, mit der Meta (Facebook, Instagram) und das russische Technologieunternehmen Yandex Android-Nutzer über lokale Schnittstellen identifizieren konnten – sogar dann, wenn diese im Inkognito-Modus surften. Die entdeckte Technik nutzte sogenannte Localhost-Verbindungen, um Browserdaten an native Apps weiterzugeben, die auf demselben Gerät liefen.

Die Untersuchungen wurden von einem Team der Universitäten IMDEA Networks (Spanien), Radboud (Niederlande) und Leuven (Belgien) durchgeführt. Ihr Bericht zeigt, wie native Android-Apps still und leise auf bestimmte lokale Ports „lauschten“, um Metadaten und Cookies zu empfangen, die von in Webseiten eingebetteten Tracking-Skripten wie Meta Pixel und Yandex Metrica stammen.

Diese Art der Kommunikation geschieht über die Loopback-Schnittstelle des Betriebssystems, über die lokal laufende Prozesse miteinander Daten austauschen können. Die Apps – darunter Facebook, Instagram sowie Yandex Maps und Yandex Browser – öffneten dafür gezielt Ports, um Informationen von mobilen Browsern abzufangen, sobald der Nutzer eine mit Tracking-Skripten ausgestattete Website besuchte.

Das Ausmaß ist erheblich: Meta Pixel ist laut den Forschern auf über 5,8 Millionen Websites eingebettet, Yandex Metrica auf fast 3 Millionen. Durch die Verbindung von Browserdaten mit Gerätekennungen wie der Android Advertising ID (AAID) konnten die Unternehmen Webaktivitäten mit konkreten Nutzeridentitäten verknüpfen – selbst wenn Nutzer Cookies löschten oder im privaten Modus surften.

Sicherheitsbedenken und mögliche Missbrauchsgefahr

Laut dem Bericht stellt diese Technik eine Umgehung grundlegender Datenschutzmechanismen auf Android dar. Sie ignoriert unter anderem das Sandboxing-Modell des Betriebssystems, die Berechtigungskontrollen sowie Schutzmechanismen des Inkognito-Modus. Die Forscher warnen, dass diese Methode auch von böswilligen Akteuren genutzt werden könnte, um Nutzer gezielt auszuspionieren.

Die Forscher stellten auch technische Details bereit: So überträgt Meta beispielsweise Cookies über WebRTC an UDP-Ports zwischen 12580 und 12585, während Yandex Ports wie 29009, 29010, 30102 und 30103 nutzt. Besonders perfide: Meta verschleierte die übermittelten Daten zusätzlich mithilfe der Technik „SDP Minging“, wodurch sie selbst für gängige Analysetools schwer erkennbar waren.

Reaktion und Maßnahmen

Die Offenlegung gegenüber Browseranbietern wie Chrome, Firefox, Brave und DuckDuckGo führte bereits zu ersten Schutzmaßnahmen. Einige Browser haben Patches veröffentlicht, andere befinden sich noch in der Entwicklung. Die Forscher danken den Herstellern für die schnelle und kooperative Zusammenarbeit.

Dennoch fordern sie weitergehende strukturelle Veränderungen: Etwa benutzersichtbare Warnungen bei der Nutzung lokaler Verbindungen, restriktivere Plattformrichtlinien sowie eine sicherere Handhabung von Interprozesskommunikation unter Android.

Meta reagiert – Tracking-Code entfernt

Meta hat laut dem Bericht inzwischen reagiert. Seit dem 3. Juni 2025 um 7:45 Uhr MESZ sei der fragliche Code, der für das Senden des Cookies an Localhost verantwortlich war, nahezu vollständig entfernt worden. Das Facebook-Pixel-Skript sende seither keine Daten mehr über die Localhost-Schnittstelle.

Obwohl erste Schritte zur Eindämmung der Methode erfolgt sind, betonen die Forscher, dass das grundlegende Problem ungelöst bleibt: Die Android-Plattform erlaubt es weiterhin jeder App mit Internetzugriff, auf Localhost zu lauschen – ein potenzieller Angriffsvektor, der dringend stärker reguliert werden müsse.

---

Bild/Quelle: https://depositphotos.com/de/home.html